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Prufungsantrag gem. § 44 PatG ist gestellt 

@ Verfahren zur Erkennung des Mi&brauchs einerZugangsberechtigung 

(57) Die Erfindung richtet sich auf ein Verfahren zurn Erkennen 
der unerlaubten Benutzung einer zum Zugriff auf eine 
Dtenstleistungsanlage, zum Zugang zu Raumen o. dgl. 
berechtigenden Identifizierung mit einem personenbezoge- 
nen Speichermedium und mit einer Schreib-/Leseeinrich- 
tung fur dieses Speichermedium, wobei die Schreib-/Lese- 
einrichtung mit einer Auswerte- und Entscheidungseinrich- 
tung kommuniziert, wobei zur Oberprufung der Identifizie- 
rung in dem personenbezogenen Speichermedium gespei- 
cherte Daten gelesen und an die Auswerte- und Entschei- 
dungseinrichtung ubertragen warden, weiche in Abhangig- 
keit von diesen Daten eine interaktion gewahrt oder verwei- 
gert, und wobei mindestens ein Teil der ubertragenen Daten 
variabei ist; erfindungsgemaS werden die variablen Daten 
bei jeder Interaktion zumindest teiiweise durch neue Daten 
£ uberschrieben, die von der Auswerteeinrichtung generiert 
und zu dem Speichermedium ubertragen werden, und die 
bei der nachsten Interaktion von der Auswerte-/Entschei- 
dungseinrichtung als neues Schlusselwort zur Identifizierung 
verlangt werden. 
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Beschreibung 

Die Erfindung richtet sich auf ein Verfahren zum Er- 
kennen der unerlaubten Benutzung einer zum Zugnff 
auf eine Dienstieistungsanlage, zum Zugang zu Raumen 
od dgL berechtigenden Identifizierung mit einem perso- 
nenbezogenen Speichermedium, einer Schreib-/Lese- 
einrichtung fur dieses Speichermedium und einer Aus 
werte- und Entscheidungseinrichtung, wobei zur Identi 



jeweils ein Zahler angeordnet 1st, welche Zahler bei 
jedem erfoigreichen Verbindungsaufbau inkrementiert 
werden. Hier wird anstelle des fest vorgegebenen 
Schlussels ein variabler Zahlerstand verwendet, der sich 
mit jedem Telefongesprach verandert Man erhalt da- 
durch sozusagen einen "dynamischen" Schlussel, der foi- 
genden Vorteil hat: Wird eine 1 : 1-Kopie der betreffen- 
den Chip-Karte angefertigt, ist zunachst der Zahler- 
stand auf der kopierten Karte richtig; bei der nun fol- 



^^JS^^S^^^^^ .o geaderBenu^ng der betrugerisch ingefertigten Kar- 
ftzierung m dem personenDezogenen p ^ ^ Schmssdwort immer nchtig 
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crespeicherte, variable Daten gelesen und an die Aus- 
werte- und Entscheidungseinrichtung ubertragen wer- 
den. . _ . , 

Insbesondere bei Mobilfunknetzen ist die Gefahr ei- 
nes MiBbrauchs relativ groB, denn hier kann eine Mani- 
pulation an einem Endgerat nicht erkannt werden au- 
Berdem lassen sich manipulierte Endgerate aufgrund lh- 
rer Mobilitat viel intensiver nutzen als bspw. stationary 
Telefonanschlusse, so daB der entstehende Schaden bei 
Mobilfunknetzen weitaus groBer sein kann. 

Zur Vermeidung eines MiBbrauchs von Mobilfunk- 
netzen sind daher eine Reihe von Sicherheitsvorkehrun- 
gen vorgesehen: Jeder Teilnehmer besitzt erne sog. 
Chip-Karte, mit fur ihn charakteristischen Daten, die er 
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te wird zunachst auch das Schlusselwort immer richtig 
inkrementiert, so daB mehrere Gesprache moglich sind. 
Sobald jedoch die Original-Chip-Karte wieder benutzt 
wird, kann die Zentrale an dem ubertragenen, falschen 
Zahlerstand erkennen, daB ein Zweitgerat dieselbe 
Identifizierung benutzt. Daraufhin fragt die Zentrale ei- 
ne zweite Kennung ab, urn das Originalgerat herauszu- 
finden, und sobald dies geschehen ist, kopiert die Zen- 
trale dessen Teilnehmernummer, so daB nun der bereits 
20 hochgezahite Zahlerstand der betnigerischen Kopie 
falsch ist Bei diesem Verfahren mit "dynamischem" 
Schlussel kann zwar ein MiBbrauch erkannt und vor- 
ubergehend ausgeschlossen werden. Sobald der Betru- 
ger jedoch eine Diskrepanz seines Zahlerstandes er- 



^^^^SS^SSm^S^^^ 25 kennC kann er durch manuelles Herabzahlen seines 
zunachst in em Endgerat (Handy) einsetzer iTO _um 2S . . , Zahlerstand der Zen- 



dieses in Betrieb nehmen zu konnen. Sofern der Teilnen- 
mer mit dem Mobilfunknetz in Interaktion treten will, 
dk, zur Durchfiihrung eines Gesprachs auf dieses zu- 
greifen will, muB er zunachst seine personliche Identifi- 
kationsnummer eingeben, welche das Handy nun mit 
den auf der eingesetzten Chip-Karte gespeicherten Da- 
ten vergieicht. Stimmt diese Zahl uberein, so erkennt 
das Handy die Identitat des Teilnehmers und tntt nun in 
Kommunikation mit einer Zentrale des Mobilfunknet- 



Zahlers versuchen, den aktuellen Zahlerstand der Zen- 
trale herauszufinden, und sich dann abermals in das Mo- 
bilfunknetz einschmuggeln. 

Aus diesen Nachteilen des vorbekannten Stands der 
30 Technik resultiert das die Erfindung initiierende Pro- 
blem, ein Verfahren zum Erkennen des MiBbrauchs ei- 
ner Zugangs- oder Zugriffsberechtigung in Form einer 
auf einem personenbezogenen Speichermedium gespei- 
cherten Identifizierung dahingehend zu verbessern, daB 



oder bei Verwendung eines "inteiligenten" Nachbaus ei- 
nes derartigen Speichermediums keineriei Moglichkeit 
eines dauerhaften MiBbrauchs besteht , 

In Verfolgung dieses Ziels sieht die Erfindung vor, 
40 daB die zur Identifizierung vor jeder Interaktion uber- 
tragenen, variablen Daten bei jeder Interaktion zumin- 
dest teilweise durch neue Daten uberschrieben werden, 
die von der Auswerteeinrichtung generiert und zu dem 
Speichermedium ubertragen werden, und die bei der 
^S^^Q^S^^^^^^^^^ 45 fchsten Interaktion ^^^^^^S- 
foll einem MiBbrauch des Mobilfunknetzes vorbeugen, dungsemrichtung als neues s ^.^^. 
L^derTseTbst durch Abh6re.n von KontroUkanalen und ^^l^f^^^^SS^SS^ 
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Zweck funkt das Handy eine Identifikauonsnummer; 
daraufhin antwortet die Zentrale durch Obertragung 
einer Zuf allszahl X. Nun unterwirf t das Handy die emp- 
fangene Zufallszahl X einer auf der Chip-Karte abge- 
speicherten Schlusselfunktion Y und generiert solcher- 
maBen eine Ergebniszahl Z. Diese wird zur Zentrale 
gefunkt, welche das Ergebnis Z mit einem intern errech- 
neten Referenzwert vergieicht und bei Identitat dieser 
beiden Werte den Zugriff auf das Mobilfunknetz frei- 
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Z auf die jeweils unterschiedliche Zufallszahl X senden 
kann. Es ist jedoch moglich, in betriigerischer Absicht 
eine 1 : 1-Kopie einer Chip-Karte anzufertigen und da- 
bei auch die interne Schlusselfunktion Y zu kopieren, 
die eine Bestimmuag des jeweils richtigen.Ergebnisses Z 
und somit einen MiBbrauch der betreffenden Teilneh- 
mer-Identifizierung zulaBt 

Um auch hier einen verbesserten Schutz vor MiB- 
brauch zu bieten, sieht die DE-PS 34 48 393 vor, daB 
sowohl in der Teilnehmerstation wie auch in der Zentra- 
le des Mobilfunknetzes zusatzliche, veranderbare Daten 
vorhanden sind, wobei zum Verbindungsaufbau die be- 
treffenden Daten von der Teilnehmerstation zur .Zen- 
trale ubertragen werden, um dort miteinander vergh- 
chen zu werden. Hierbei ist vorgesehen, daB als veran- 
derbare Daten die Zahl von erfoigreichen Verbmdungs- 
aufbauten der Teilnehmerstation verwendet wird, und 
daB in der Teilnehmerstation wie auch in der Zentrale 
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zeugt das nachst folgende Schlusselwort auf vollig un- 
vorhersehbare Art selbst und ubertragt es sodann auf 
die Teilnehmerstation, welche dieses bis zur nachsten 
Interaktion speichert. Hierdurch kann das nachstfolgen- 
de Schlusselwort von keiner anderen Teilnehmerstation 
als eben dieser ermitteit werden, weder durch eine 
1 : 1-Kopie der betreffenden Chip-Karte, noch durch ei- 
nen "intelligenten" Nachbau mit bspw. eingebauter De- 
krementierfunktion eines Zahlers od dgl. Eine in betru- 
gerischer Absicht angefertigte 1 : 1-Kopie einer Chip- 
Karte wird spatestens dann erkannt, wenn die zur Be- 
nutzung berechtigte Person ihre Originalkarte mit dem-^ 
aiten Schlusselwort benutzt Sobald diese daraufhin ein 
neues Schlusselwort erhalten hat, ist es fur die 1 : 1-Ko- 
pie niemals mehr moglich, den richtigen Schlussel her- 
auszufinden. Dies ist dadurch sichergestellt, daB die von 
der Auswerteeinrichtung generierten Daten auf vollig 
unvorhersehbare Art, bspw. mit einem Zufailsgenerator 
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werden kann. 

4. Verfahren nach einem der vorhergehenden An- 
spriiche, dadurch gekennzeichnet, daB in der Aus- 
werteeinrichtung ein PaBwort und/oder personen- 
bezogene Daten gespeichert ist (sind), welche(s) 5 
ausschlieBlich der zugriffs-/zugangsberechtigten 
Person bekannt ist (sind), und dessen (deren) manu- 
elle und/oder verbale Eingabe die Vergabe eines 
neuen SchJusselworts an das dieser Person zuge- 
ordnete Speichermediurn veranlaBt, unabhangig io 
davon, ob das zuletzt gelesene Schlusselwort rich- 
tig war oder nicht 

5. Verfahren nach Anspruch 4, dadurch gekenn- 
zeichnet, daB bei Abweichung der variablen Daten 
von den der AuswerteVEntscheidungseinheit be- 15 
kannten Soil-Daten der Zugriff/Zugang mit der be- 
treffenden Identifizierung verweigert wird, bis sich 
die zugangsberechtigte Person mittels des nur ihr 
bekannten PaBworts und/oder durch Eingabe wei- 
terer, personenbezogener Daten ausgewiesen und 20 
daraufhin einen neuen Satz variabler Daten erhai- 
ten hat. 

6. Verfahren nach Anspruch 4 oder 5, dadurch ge- 
kennzeichnet, daB das PaBwort bei einer erstmali- 
gen Interaktion von dem Speichermediurn gelesen 25 
und in der Auswerteeinheit gespeichert und sodann 
auf dem Speichermediurn vollstandig geidscht wird. 

7. Verfahren nach einem der vorhergehenden An- 
spruche, dadurch gekennzeichnet, daB die Dienst- 
leistungsaniage ein Mobilfunk- oder Telefonnetz, 30 
das bankeneigene Netz von Geldausgabeautoma- 
ten, ein (firmeneigenes) Computernetz oder -sy- 
stem od. dgL ist 

8. Verfahren nach einem der vorhergehenden An- 
spruche, wobei die Dienstleistungsanlage ein Mo- 35 
bilfunknetz ist, dadurch gekennzeichnet, daB die va- 
riablen Daten vor Beginn eines Verbindungsauf- 
baus und/oder in regelmaBigen Zeitabstanden (Ti- 
mer-Ablauf) und/oder beim Zuordnen zu einer 
neuen Funkzone (Rooming) durch neue Daten 40 
uberschrieben werden. 
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erzeugt werden. 

Um zu erkennen, wieviele der zuletzt gefuhrten Ge- 
sprache auf das Konto der betrugerisch angefertigten 
1 • 1 -ICopie zu rechnen sind, ist erfindungsgemaB weiter- 
htn vorgesehen, daB ein anderer Teil der vanablen Da- 
ten bei jeder Interaktion durch einen Zahlerbaustein 
inkrementiert wird, wobei dieser Teil der variabien Da- 
ten zur Obertragung ggf. verschlusselt werden kann. 
Hierdurch ist es der Zentrale eines Mobilfunknetzes 
bspw moglich, die Differenz der Zahlerstande ihres 
Zahlers minus des Zahlers der als Original erkannten 
Teilnehmerstation zu bilden, wobei diese Differenz die 
Anzahl der betrugerisch gefuhrten Gesprache angibt 
Nun konnen die betreffenden Gebuhreneinheiten von 
der Rechnung des Originalteilnehmers subtrahiert wer- 
den, so daB dieser von dem Betrugsversuch keinen 
Schadenhat. . 

Um die tatsachiich zugangsberechtigte Person von 
dem Betriiger zu unterschetden, konnen in der Aus- 
werteeinrichtung ein PaBwort und/oder personenbezo- 
<*ene Daten gespeichert sein, welche ausschiieBbch der 
zugangsberechtigten Person bekannt sind und deren 
manuelle oder verbale Eingabe die Vergabe etnes neuen 
Schliisselworts an diese Original-Chip-Karte veranlaBt, 
unabhangig davon, ob das von dieser zuletzt gelesene 
Schlusseiwort richtig war oder nicht. Die Abfrage eines 
PaBworts oder personenbezogener Daten kann dabei 
bevorzugt von einem Bediensteten des Systembetrei- 
bers vorgenommen werden, dem neben dieser Tatigkeit 
eine Reihe weiterer Aufgaben ubertragen sein konnen. 
Zur Erhohung der Sicherheit gegenuber Betriigern 
kann wahrend eines derartigen Gesprachs, insbespnde- 
re wahrend der Nennung eines PaBworts, erne Stim- 
menanalyse durchgefuhrt werden, mit deren Hilfe sich 
zuverlassig uberpriifen laBt, ob die betreffenden Daten 
tatsachiich von der berechtigten Person stammen. 

Um eine betrugerische Chip-Karte ein fur allemal zu 
entwerten, wird aufgrund einer falschen Identifizierung 
jegliche weitere Interaktion verweigert, so daB keinerlei 
Kosten anfallen. Es ist jedoch auch moglich, dieser be- 
trugerischen Station eine richtige Identifizierung vorzu- 
tauschen und das bspw. folgende Telefongesprach auf- 
zuzeichnen, um daraus Riickschlusse uber den Betriiger 
zu gewinnen. . 

Um auch bei der Initialisierungsphase einer errin- 
dungsgemaBen Chip-Karte die Vergabe eines PaBworts 
an eine betrugerisch ersteilte Chip-Karte auszuschhe- 
Ben, kann gemaB einer bevbrzugten Weiterbildung der 
Erfindung das PaBwort bei einer erstmaligen Interak- 
tion von dem Speichermedium gelesen und in der Aus- 
werteeinheit gespeichert und sodann auf dem Speicher- 
medium vollstandig geloscht werden. Hierdurch erfolgt 
ausschlieBlich ein Datentransfer von der Mobilstauon 
zur Zentrale, niemals dagegen in umgekehrter Richtung. 
Indem das PaBwort sodann auf dem Speichermedium 55 
geloscht wird, kann es selbst bei einer 1 : 1-Kopie mcht 
rnehr auf gefunden werden. 

Die Erfindung ist nicht auf Mobilfunknetze be- 
schrankt, sondern kann auch bei anderen Dienstlei- 
stungsanlagen wie Telefonnetzen, bankeigenen Netzen 
von Geldausgabeautomaten, (firmeneigenen) Compu- 
ternetzen oder -systemen od. dgl. vorteilhaft eingesetzt 
werden. Voraussetzung ist ausschlieBlich die Vergabe 
von personenbezogenen Speichermedien an zum Zu- 
gang oder zum Zugriff berechtigte Personen, um diese 
identifizieren zu konnen. Wahrend bei offentlichen Te- 
lefoh'en, Geldausgabeautomaten od dgl. eine Kommu- 
nikation zwischen dem Speichermedium und der betref- 
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fenden Zentrale der Dienstleistungsanlage ausschlieB- 
lich zum Zweck eines Zugriffs auf diese Dienstleistungs- 
anlage erfolgt, so daB als Interaktion tatsachiich nur ein 
erfolgreicher Zugriff anzusehen ist, lauien in Mobilfunk- 
netzen regelmaBig systeminterne Funktionen ab ( die 
ebenfalls als Interaktionen im Sinne der Erfindung ange- 
sehen werden konnen, welche eine Aktualisierung der 
variabien Daten ermoglichen. Bei diesen' systeminter- 
nen Funktionen handelt es sich bspw. um die in regelma- 
Bigen Zeitabstanden erfolgende Ruckmeldung einer 
Teilnehmerstation, um in einer Kontrolliste in der Zen- 
trale des Mobilfunknetzes ihre Kommunikationsbereit- 
schaft zu signalisieren. Eine weitere Kommunikation 
zwischen Mobilstation und Funknetz findet immer dann 
statt, wenn die Mobilstation eine Funkzone verlaBt und 
sich infoige der nachlassenden Empfangsfeldstarke eine 
andere Feststation auswahlt Auch bei dieser als Roa- 
ming bezeichneten Zuordnung ist eine Identifizierung 
der Teilnehmerstation notwendig, bei der anschlieBend 
die variabien Daten uberschrieben werden konnen. Die 
Aktualisierung der variabien Daten bei jeder derarti- 
gen, systeminternen Funktion stellt sicher, daB ein be- 
tnigerisches Zweitgerat innerhaib eines kurzesten Zeit- 
intervalls erkaxmt wird, selbst wenn die zugangsberech- 
tigte Person uber einen groBeren Zeitraum hinweg 
nicht selbst auf das Mobilfunknetz zugreift Hierdurch 
laBt sich der wirtschaftiiche Schaden betrugerischer Ak- 
tivitaten auch fur den Betreiber des Mobilfunknetzes 
auf einen vernachlassigbar niedrigen Betrag reduzieren. 

Patentanspriiche 

1. Verfahren zum Erkennen der unerlaubten Benut- 
zung einer zum Zugriff auf eine Dienstleistungsan- 
lage, zum Zugang zu Raurnen od. dgl berechtigen- 
den Identifizierung mit einem personenbezogenen 
Speichermedium, insbesondere in Form einer Chip- 
Karte, und mit einer Schreib-/Leseemrichtung fur 
dieses Speichermedium, wobei die Schreib-/Lese- 
einrichtung mit einer Auswerte- und Entschei- 
dungseinrichtung, bspw. in Form einer Steuerzen- 
trale oder eines Zentralcomputers der Dienstlei- 
stungs- oder Raumuberwachungsanlage kommuni- 
ziert, wobei zur Oberpriifung der Identifizierung in 
dem personenbezogenen Speichermedium gespei- 
cherte Daten gelesen und an die Auswerte- und 
Entscheidungseinrichtung ubertragen werden, wel- 
che in Abhangigkeit von diesen Daten eine Interak- 
tion, insbesondere den Zugriff/Zugang oder erne 
systeminterne Funktion, gewahrt oder verweigert, 
und wobei mindestens ein Teil der iibertragenen 
Daten variabel ist, dadurch gekennzeichnet, daB 
die variabien Daten bei jeder Interaktion zumin- 
dest teilweise durch neue Daten uberschrieben 
werden, die von der Auswerteeinrichtung generiert 
und zu dem Speichermedium ubertragen werden, 
und die bei der nachsten Interaktion von der Aus- 
werte-/Entscheidungseinrichtung als neues Schlus- 
selwort zur Identifizierung verlangt werden. 

2. Verfahren nach Anspruch 1, dadurch gekenn- 
zeichnet, daB die von der Auswerteeinrichtung ge- 
nerierten Daten auf vollig unvorhersehbare ArV* 
bspw. mit einem Zuf allsgenerator, erzeugt werden. 

3. Verfahren nach Anspruch 1 oder 2, dadurch ge- 
kennzeichnet, daB ein anderer Teil der variabien 
Daten bei jeder Interaktion durch einen Zahlerbau- 
stein inkrementiert wird, wobei dieser Teil der va- 
riabien Daten zur Obertragung ggf. verschlusselt 
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